未来身份验证行业的发展趋势

门禁控制系统正在摆脱传统卡片和读卡器的限制，迈入可配置凭证卡、非接触式技术的全新领域。在新领域中，手机及其他设备可携带通过空中下载或互联网接收的“数字密钥”。随着人们的移动性日益增加，对安全身份验证及可靠性也产生了新的需求，为虚拟身份验证铺路，取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备爆炸式增长所带来的挑战，就有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用，并推动所有相关的新产品开发工作。近距离无线通信 (Near Field Communications, 简称NFC) 是有望实现上述目标的一种技术，但要想确保其安全性，业界就必须建立一种基于综合监管链的身份验证方法，通过这种方法，系统或网络中的所有端点都能够得以验证，从而让各端点之间的身份验证的信息在任何时候都能够可靠传输。

HID Global最近开发的 Trusted Identity Platform (TIP) 是一种安全可靠的网络，可提供身份验证传输框架，实现安全产品和服务的交付使用。这是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说，该基础架构是一个中央安全库，通过安全的网络连接，并以公开的加密密钥管理安全政策为依据，为已知端点（如凭证卡、读卡器和打印机）服务交付。HID Global 将其称为“受规限”系统，连接到该系统的所有设备都是已知的，因而能够可靠安全地交换信息。TIP 架构具有充分的可扩展性，其传输协议和加密模式符合各种标准，可支持多种应用。TIP 系统还可以实现虚拟化及云端基础模式，因而能够在不影响安全性的情况下通过互联网提供服务交付。 

TIP 是如何运作的？

TIP 提供一种受保护的身份验证传输网络，可对网络中的所有端点或节点进行验证，因而各节点之间的信息传输都是可信的。

http://s13/bmiddle/6f1b5b97ha1f1ada9947c&690

TIP 模型包含三个核心要素：

(1)     安全库 (Secure Vault)，为已知并可信的端点提供加密密钥安全存储功能；

(2)     安全通讯 (Secure Messaging) 方法，使用行业标准的对称密钥方法将信息传输至各个端点；

(3)     密钥管理策略和规范 (Key Management Policy and Practices, 简称KMPP)，设定“安全库”的访问规则以及向各端点分发密钥的规则。

下面就让我们更细致地了解如何建立端点及可靠的信息传输：

只有在实施了 TIP 节点协议后，端点才会启用，进而被“安全库” 识别并注册为可靠的网络成员。这样，该端点就可与“安全库”进行通信。

凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信，其访问和处理规则都受到 HID Global的“密钥管理策略和规范” 严格管控。只有经认证的设备才能够加入该网络（与任何计算机都可访问任何网站的互联网不同），这就形成了隐含的严格身份验证机制。

各端点之间的 TIP 消息采用行业标准的加密方法进行加密，以便进行符合公开安全政策 (即KMPP) 的安全信息传输。这些 TIP 信息数据包由两个嵌套的对称密钥进行保护，其中含有“安全身份验证对象”(Secure Identity Object, 简称SIO) 信息。多个 SIO 可嵌套到一个 TIP 信息中，向各种不同的设备（如门禁卡、智能手机及计算机）提供多种指令。如有必要，每个设备都可具有不同的门禁控制特性。例如，最简单的 SIO 就是模拟 iCLASS 卡上的程序数据。

当“安全库”与端点设备之间的验证通过时，该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信，可以独立工作。在这种方式下，各端点（如凭证卡及读卡器）之间的信息传输是“可信的”，而由此产生的信息传输（例如打开一道门或登录到计算机）也被视为是“可信的”。

通过近距离无线通信，使用这种技术的手机就可作为 TIP端点而受到支持，因而能够使用不同的 SIO 进行编程，进而实现模拟卡片或者更为复杂的应用，不但可以获授权通过门禁系统，还可实施由 NFC 手机本身进行解释的复杂门禁控制规则。

HID Global 已开始部署 TIP，并已通过宣布与第一家合作伙伴 - NCF 芯片领先企业 INSIDE Contactless 的合作，朝可信、虚拟及按需式身份验证网络的宏伟蓝图迈出了第一步，也是巨大的一步。INSIDE Contactless 是为数不多的几家正在全球范围内推动 NFC 试验的公司之一。这一开创性的合作将支持 NFC 的手机能像我们的物理智能卡那样，嵌入市场领先的 iCLASS® 门禁控制和凭证卡信息。此凭证卡信息将通过 HID Global 的 TIP 系统提供，将来还可以实现这些凭证卡与其他网络服务和实时通信的结合使用。HID Global 计划开展其他类似的合作伙伴关系，将 HID Global 和其他供应商的非接触式解决方案、NFC 技术及其他广泛应用的技术融为一体，为用户身份验证、无现金自动售货及计算机安全登录等各种应用打造一个广泛适用的平台（从手机到笔记本电脑，涵盖各种终端设备）。这些平台和应用将大幅扩展非接触式智能卡的价值定位。

（HID Global版权所有，转载请注明出处）

欢迎访问HID官方网站：www.hidglobal.cn

HID Global中国媒体联络人：

周亮

电话：0755-82783150

邮件：izhou@hidglobal.com